Купон на скидку: 2026
OpenAI совместно с Trail of Bits, компанией, специализирующейся на кибербезопасности, объявила о запуске программы Patch the Planet. Её цель — использовать искусственный интеллект для поиска и исправления уязвимостей в популярных проектах с открытым исходным кодом, на которых строится огромное количество корпоративных приложений, облачных сервисов и интернет-инфраструктуры. В число первых участников вошли Python, Go, cURL, Sigstore, NATS Server, aiohttp, freenginx, библиотека pyca/cryptography и официальный проект python.org. Эти компоненты отвечают за разработку программного обеспечения, сетевое взаимодействие, криптографическую защиту данных, проверку подлинности программ и безопасность цепочек поставок ПО. Ошибка в любом из них способна затронуть тысячи компаний и миллионы устройств по всему миру.
Работа будет начинаться с консультаций с сопровождающими проектов, чтобы определить наиболее проблемные области. Затем специалисты и модели искусственного интеллекта займутся поиском потенциальных уязвимостей, проверкой их работоспособности, разработкой исправлений, тестированием и координированным раскрытием информации через принятые в проектах каналы. Для анализа кода планируется применять модели OpenAI и инструмент Codex Security, а инженеры Trail of Bits станут проверять все результаты перед передачей разработчикам, отсеивая ложные срабатывания и дублирующиеся сообщения.
По данным OpenAI, программа уже принесла первые результаты. В ходе пилотного этапа обнаружены сотни проблем безопасности, десятки исправлений уже включены в проекты, а остальные находки проходят процедуру координированного раскрытия. Дополнительно были созданы инструменты для фаззинга — автоматизированного поиска ошибок через подачу нестандартных данных, анализа исторических записей CVE (Common Vulnerabilities and Exposures — общепринятой базы уязвимостей) и дифференциального тестирования, сравнивающего поведение разных версий программного обеспечения.
Запуск происходит на фоне растущей обеспокоенности безопасностью цепочек поставок ПО. За последние годы индустрия пережила несколько резонансных инцидентов: уязвимость Log4Shell в библиотеке Log4j и внедрение вредоносного кода в проект XZ Utils показали, что проблема в одном широко используемом компоненте может молниеносно распространиться по тысячам продуктов и корпоративных систем.
Эксперты предупреждают, что искусственный интеллект не решает проблему автоматически. Аналитик Forrester Бисваджит Махапатра (Biswajeet Mahapatra) главным преимуществом подобных систем называет скорость. ИИ способен значительно быстрее находить, проверять, исправлять и документировать ошибки, но роль людей не исчезает. Специалистам по-прежнему необходимо оценивать реальную опасность найденных уязвимостей, проверять безопасность исправлений и принимать решения о сроках публикации информации.
Архитектор по безопасности открытого ПО Девашри Датта (Devashri Datta) подчёркивает, что компаниям необходимо заранее выстраивать систему контроля для работы с находками ИИ. По её мнению, любая автоматически обнаруженная уязвимость должна проходить независимую проверку, включая подтверждение возможности эксплуатации и фильтрацию ложных срабатываний. Кроме того, организациям следует определить порядок действий на случай обнаружения проблем в сторонних компонентах, которые они сами не контролируют, — с ясными сроками уведомления, ответственными лицами и процедурами эскалации.
Ожидается, что распространение ИИ-инструментов изменит сам подход к управлению безопасностью. Если раньше анализ новых уязвимостей и выпуск исправлений могли занимать недели, то системы с поддержкой искусственного интеллекта способны сократить этот процесс до нескольких дней. В результате компаниям придётся переходить от периодического устранения проблем к практически непрерывной оценке рисков. При этом стандартных рейтингов, таких как CVSS, для расстановки приоритетов станет недостаточно: потребуется учитывать конкретную роль системы в бизнесе, доступность сервиса, вероятность эксплуатации ошибки и потенциальный ущерб. Таким образом, с программой Patch the Planet OpenAI рассчитывает ускорить защиту критически важных компонентов цифровой инфраструктуры, от которых зависят современные сервисы, облачные платформы и корпоративные системы. Однако итоговая эффективность такого подхода будет определяться не только возможностями ИИ, но и тем, насколько хорошо компании смогут встроить его в существующие процессы управления киберрисками.